AWS Continuum：用AI自动发现并修复代码漏洞

亚马逊云科技（AWS）近日正式推出AWS Continuum——一款利用前沿AI模型，以极低的人工干预在客户环境中自动发现、验证和修复软件漏洞的安全平台。

Continuum旨在解决AWS所描述的企业安全领域正面临的关键瓶颈。AWS认为，过去十年企业依赖的安全运营模式——围绕遥测数据采集、存储与监控大盘展开——已难以应对当前的安全挑战。

AWS指出，以Anthropic旗下Claude Mythos为代表的前沿网络安全AI模型，如今已能以机器速度发现漏洞、推理复杂攻击路径，由此导致待处理漏洞的积压量呈指数级增长。作为该平台的首个核心能力，Continuum代码漏洞检测功能目前已进入受限预览阶段。

Continuum采用模型无关的设计理念，可根据具体任务的表现，灵活调用多种前沿模型。该平台同时处理两类数据：一类是AWS内部已有的结构化数据，包括基础设施、权限配置、网络拓扑和代码；另一类是非结构化数据，涵盖客户的业务文档、通信记录和业务优先级。AWS表示，该系统的构建经验源自对AWS自身及亚马逊电商平台的安全防护实践，其核心在于深入理解业务上下文，而非机械套用通用规则。

该产品以四个持续循环的阶段运行。首先，系统摄入客户现有的漏洞积压清单并执行自主扫描；随后，基于受影响组件是否已部署、是否可达、是否处于生产路径，以及漏洞被利用后的业务影响，对发现结果进行优先级排序。

第三阶段，Continuum通过验证来过滤误报——系统会在沙箱环境中构建可复现的漏洞利用示例，提供有据可查的证据。最后，系统评估现有防御措施并给出修复建议，修复方式可以是网络层变更、策略调整或代码补丁，且补丁本身也由确认漏洞的同一系统完成验证。此外，平台还提供爆炸半径可视化分析，并在可行的情况下提供回滚路径。

在可信度方面，Continuum采用渐进式策略。初始阶段以”学习模式”运行，全程保留人工参与，每条建议均附带推理过程。客户此后可切换至”执行模式”，系统将根据其自定义的漏洞类别和风险等级，逐步实现修复流程的自动化。

此次发布还整合了AWS此前推出的相关能力。2025年12月re:Invent大会上预览的AWS Security Agent中，渗透测试和代码扫描功能现已并入Continuum，分别命名为Continuum渗透测试和Continuum代码扫描。与此同时，AWS还预览了Continuum威胁建模功能，该功能可从设计文档或源代码自动生成威胁模型，并以STRIDE格式输出结果。

AWS表示，正与金融服务、汽车和科技行业的客户合作，持续打磨这一平台。Continuum将首先覆盖第一方和第三方代码，后续将逐步扩展至更多安全领域。

Q&A

Q1：AWS Continuum是什么？主要能解决什么问题？

A：AWS Continuum是亚马逊云科技推出的一款AI安全平台，利用前沿AI模型自动完成软件漏洞的发现、验证与修复，大幅减少人工干预。它主要解决传统安全运营模式跟不上漏洞增长速度的问题，通过机器速度处理不断积压的漏洞清单，帮助企业更快响应安全威胁。

Q2：AWS Continuum的四个运行阶段分别是什么？

A：Continuum分四个阶段持续运行：第一阶段摄入现有漏洞清单并执行扫描；第二阶段根据组件是否部署、可达性及业务影响进行优先级排序；第三阶段在沙箱环境中构建漏洞利用示例以验证真实性、过滤误报；第四阶段评估现有防御并给出修复建议，补丁由同一系统验证，同时提供爆炸半径分析和回滚路径。

Q3：AWS Continuum的”学习模式”和”执行模式”有什么区别？

A：”学习模式”是Continuum的初始状态，全程保留人工参与环节，每条修复建议都附带推理说明，方便团队审核与理解。待客户建立信任后，可切换至”执行模式”，系统将依据客户自定义的漏洞类别和风险等级，自动执行修复操作，减少人工介入，提升响应效率。